Mejorar la Proteccion de Datos

por

publicado el 29 abril 2009

Categorías: Agencia Proteccion Datos / LOPD / Protección de Datos

En las últimas semanas he estado involucrado (por invitación) en un proyecto de ley el cual tiene influencia directa sobre la aplicación de la Protección de Datos.  Esencialmente, sería el marco legal que regularía los datos de carácter personal en el sector público. Esto ,mas un comentario de un viejo compañero que también se dedica a estas cosas ( Reimooooos) hicieron que me preguntara como podemos mejorar La Protección de Datos de carácter personal.

No es la primera vez que me toca colaborar o dar opiniones sobre algún proyecto de ley. Es una tarea que puede ser muy frustrante, tanto por la dificultad inherente de hacer una ley como por coherencia, después de tanto criticarlas en innumerables ocasiones. Además, hay que tener en cuenta los distintos intereses ( y presiones) de ciudadanos, empresas, partidos, facciones y demás sectas. Finalmente, el resultado del producto una vez pasa por la apisonadora del Poder Legislativo hace que el niño no se parezca en nada a sus padres y te preguntes si no hubiera sido mejor aplicar un aborto por motivos terapéuticos.

Aun así, el resultado final es muy interesante por el aprendizaje conseguido ( explicito y oculto) y por la reflexión sobre el tema, que es lo que mas «poso» deja.

En protección de datos, mi opinión es que tenemos un marco legal (internacional y local) medianamente claro, bastante bien estructurado y sistematizado. Aun así, tiene espacio para la mejora y para algunos leves cambios de adecuación a normas internacionales ( mas técnicas y surgidas de la experiencia que legales):

  • La primera y mas demandada es un CLARO, DIRECTO y EJECUTIVO sistema de sanciones al incumplimiento de las disposiciones legales en caso de los ficheros de titularidad publica. El régimen actual en España y en la mayoría de Europa es casi una broma. Salir mencionado en la Memoria del ombudsmann de turno y una regañada. Ni a colleja llega. En el caso de México, todo remite a una Ley de Responsabilidad de los Servidores Públicos cuyo incumplimiento y complejidad hacen que en la practica solo se aplique en los casos mas graves ( y si eso). No soy el primero que lo dice (detecte un articulo de Miguel Angel Davara en 2000 en el anuario de la Fundación Airtel) y me temo que no seré el ultimo. Las sanciones no son solo con el animo de molestar, sino que son un poderoso mecanismo para mejorar el sistema, evitar errores y abusos varios.
  • La exigencia por ley, y no por Reglamento ( el cual es relativamente fácil de cambiar y/o dejar sin efecto) de una auditoria de cumplimiento. Ademas la auditoria debe cumplir con estándares internacionales, y que en vía reglamentaria se hagan explícitos esos estándares (y metodologías, como CobiT , ISO, BES  u otras tantas)
  • Un tema complicado y sin solución es el tema de la definición de que es dato de carácter personal. La definición esta muy clara: Dato de carácter personal es el que identifica ( o hace identificable) a la persona. Esa definición es inalterable y viene establecida en la mayoría de los tratados internacionales e incluso constituciones. Ademas el sentido común nos dice que es correcta. Sin embargo empezamos a encontrar datos que son difíciles de clasificar bajo esa definición. Tanto positiva (son datos de carácter personal) como negativamente (no lo son). Algunos, ademas la propia jurisprudencia viene negando que lo sean ( números de teléfono) aunque algunos se empeñen en que lo son. Otro, en cambio la jurisprudencia se negó a reconocerlos ( caso de los registros religiosos). ¿Quizás poner una relación no exhaustiva sea correcto?. ¿Quizás una remisión a reglamento?. En lo personal, pienso que hay poco que hacer en este tema.
  • Los mínimos del documento de seguridad también deben de establecerse en la ley, así como la clasificación de los niveles de protección exigidos . Esto ya se puede ver en varios textos legales iberoamericanos.
  • Finalmente establecer una «ventanilla única» para atención al ciudadano, para que el organismo/órgano/agencia de protección de datos gestione y haga de garante del ejercicio de los derecho de acceso/cancelación/rectificación no necesariamente implicaría una mayor carga burocrática y de administración. En cambio potencialmente se gana en transparencia, seguridad jurídica y simplicidad. Ademas, cuando exista una ley de transparencia y acceso a la información pública ( cuando, cuando…) sera necesario ese tipo de ventanilla ( unidad concentradora).Claramente el uso de TIC debe de ser exhaustivo.

¿En los tiempos de Facebook, Twitter y LinkedIn merece la pena todo esto? Mas que nunca.